Журнал "Information Security/ Информационная безопасность" #4, 2018

Сейчас рынок EDR – это поле для конкуренции между производителями антивирусов, которые хотят стать полноценными корпо- ративными средствами защиты от целенаправлен- ных атак, и разработчиками "песочниц", которые выхо- дят на рынок защиты конеч- ных устройств. and Response – обнаружение атак на конечные устройства и реагирование на них). Подобные решения с помощью специ- ального агента, установленного на конечные устройства, соби- рают информацию об активно- сти пользователей и программ, анализируют ее для обнаруже- ния признаков компрометации (IoC), помогают выявлять и лока- лизовать скомпрометированные устройства, провести расследо- вание и усилить защиту. Таким образом, EDR по сути дополняет установленную EPP, расширяя возможности по защите конечных устройств. При этом решения класса EPP обеспечивают защиту от извест- ных типов атак, а EDR – другие этапы жизненного цикла инци- дента: детектирование, реаги- рование и расследование, а часто и функции по анализу эффективности работы EPP для выявления слабых мест в защи- те. В настоящее время наблю- дается сближение этих систем – в EDR-платформах появляется функционал EPP и наоборот. EDR и все, все, все... С точки зрения корпоратив- ной системы защиты EDR является дополнительным эле- ментом безопасности, который позволяет выявлять действия злоумышленника, когда он уже смог преодолеть все имеющие- ся средства защиты. Кроме того, EDR позволяет с помощью выявления аномалий обнару- жить подозрительные файлы и направить их на исследование в "песочницу" – виртуальную среду, используемую антиви- русными аналитиками для выявления вредоносной актив- ности кодов и приложений. Именно поэтому сейчас про- изводители антивирусных реше- ний с одной стороны и разра- ботчики сетевых средств защи- ты с другой стараются встроить функции EDR в свои продукты. В качестве примера рассмотрим два решения класса EDR: Fire- Eye HX и Kaspersky EDR. Компания FireEye, специали- зирующаяся на разработке "песочниц", выпустила EDR- решение FireEye Endpoint Secu- rity (серия получила наимено- вание HX), которое включает в себя в том числе следующие технологии: l обнаружение и блокирование эксплойтов без использования сигнатур (защита от угроз нуле- вого дня); l расширение киберразведки FireEye на конечные устройства для всеобъемлющей защиты от современных угроз; l получение результатов ана- лиза в "песочницах" FireEye (индикаторов) с последующей их проверкой на конечных узлах; l Triage Viewer и Audit Viewer для отслеживания и анализа индикаторов угроз (детектиро- вание); l Enterprise Search для быстро- го поиска на всех конечных узлах индикаторов и проведе- ния расследования с целью дальнейшего устранения последствий (расследование); l Forensic Data Acquisition поз- воляет выполнить сбор данных с устройства для тщательной проверки и анализа (анализ); l изолирование угроз и ском- прометированных устройств (реагирование). Продукт интегрирован с дру- гими разработками FireEye, что позволяет в случае обнаруже- ния атак на конкретные устрой- ства оперативно локализовать нападение и не дать вредоно- сам продолжить свою деятель- ность в системе. Кроме этого в состав агента FireEye входит дополнительный антивирус, который выполняет дополни- тельную проверку подозритель- ных объектов. В 2018 г. компания "Лаборато- рия Касперского" выпустила свой продукт под названием Kaspersky EDR, который позволяет решать следующие задачи: l улучшить контроль рабочих мест и оптимизировать обнару- жение угроз с помощью пере- довых технологий, включая машинное обучение, "песочни- цу", аналитику угроз и проверку на индикаторы компрометации (IoC) (детектирование); l автоматизировать выявление угроз и реагирование на них во избежание потерь и простоев (реагирование); l создать постоянно совершен- ствующуюся систему защиты на базе простого в использова- нии корпоративного решения по нейтрализации и расследо- ванию угроз (расследование); l наладить эффективные про- цессы обнаружения угроз, управления инцидентами и реа- гирования на них (процесс модернизации защиты). Особенностью решения Kas- persky EDR является его интег- рация с другими продуктами "Лаборатории Касперского" – антивирусом и Kaspersky KATA. Таким образом, сейчас рынок EDR – это поле для конкуренции между производителями анти- вирусов, которые хотят стать полноценными корпоративными средствами защиты от целена- правленных атак, и разработ- чиками "песочниц", которые выходят на рынок защиты конечных устройств. Заключение Рынок EDR сейчас только начинает формироваться и имеет хорошие перспективы для дальнейшего развития. Тем не менее производителей дан- ных инструментов уже доста- точно как минимум для обзоров аналитических компаний. Так, Gartner, Forrester и IDC уже выпустили несколько отчетов по данному рынку и сравнили его перспективность с усто- явшимся рынком EPP. Первый опыт внедрения решений клас- са EDR продемонстрировал их высокую эффективность и спо- собность реально повысить уро- вень защиты, в том числе и от целенаправленных атак зло- умышленников. l • 29 ТЕХНОЛОГИИ www.itsec.ru Хакеры группировки Thrip используют для повышения полномочий утилиту Mimikatz, обычно определяемую как вредоносный код, что может позволить выявить их вредоносную активность. Однако злоумышленники обходят и эту защиту, изменяя файл таким образом, чтобы сигнатуры антивируса не срабатывали. Нужно также иметь в виду, что вредонос присутствует в системе очень короткое время – после получения административных полномочий хакеры удаляют его и опять пользуются только легальным ПО. Антивирусы, обновившие свои сигнатуры, не всегда могут обнаружить подобные вредоносные коды, что и позволяет хакерам долго скрывать свое присутствие в системе. Аналогичным свойством обладают и бесфайловые вредоносы – они располагаются только в памяти и при включении компьютера удаляются, и антивирусам, которые сканируют только файловую систему, они также не видны. Ваше мнение и вопросы присылайте по адресу is@groteck.ru